ox1111 · March 18, 2019 01:25
diff --git a/악성코드.txt b/악성코드.txt
 악성코드 전문가는 아니지만
 요즘 입문하시는 분에게
 개인적인 견해를 피력하자면..

 ■ 분석 기법도 다변화하여 연구해야 한다..

 장비가 좋다고 장비에만 의존하면, 손에서 빠져나간 
 악성코드들에 의해 치명적인 공격을 받을 수 있다.

 ■ 가령
 요즘 종종 나오는 fileless 악성코드의 기본 동작 원리는

 ■ 해커가 아래한글의 취약점을 이용해서 배포하는건 아니고
 약간의 사회공학 기법을 이용해서 아래한글내의 링크의 클릭을 유도한다.

 ■ 사용자가 링크를 클릭하면 temp 디렉토리에 생성된 1차 악성코드를 실행한다.

 ■ 1차 악성코드에 doc리소스에 암호화된 2차 악성코드의 암호를 푼다.

 ■ wscript 같은 프로그램를 실행 후 thread를 생성해서 
 3차 악성코드를 wscript의 메모리 영역에 injection 한다.

 ■ 이걸 또 2번의 decrypt과정을 거처 4차 악성코드를 받아
 c&c에 붙어 송신하는 형태다..
 요즘은 기본처럼 만들어서 배포한다..
 암호화를 하기에 탐지하기도 쉽지 않다..
 그래서 요즘은 분석하기 더 귀찮아지고 있지만..
 창이 계속 진화하고 있다면
 방패도 계속 따라가야 한다..
	악성코드 전문가는 아니지만
	요즘 입문하시는 분에게
	개인적인 견해를 피력하자면..

	■ 분석 기법도 다변화하여 연구해야 한다..

	장비가 좋다고 장비에만 의존하면, 손에서 빠져나간
	악성코드들에 의해 치명적인 공격을 받을 수 있다.

	■ 가령
	요즘 종종 나오는 fileless 악성코드의 기본 동작 원리는

	■ 해커가 아래한글의 취약점을 이용해서 배포하는건 아니고
	약간의 사회공학 기법을 이용해서 아래한글내의 링크의 클릭을 유도한다.

	■ 사용자가 링크를 클릭하면 temp 디렉토리에 생성된 1차 악성코드를 실행한다.

	■ 1차 악성코드에 doc리소스에 암호화된 2차 악성코드의 암호를 푼다.

	■ wscript 같은 프로그램를 실행 후 thread를 생성해서
	3차 악성코드를 wscript의 메모리 영역에 injection 한다.

	■ 이걸 또 2번의 decrypt과정을 거처 4차 악성코드를 받아
	c&c에 붙어 송신하는 형태다..
	요즘은 기본처럼 만들어서 배포한다..
	암호화를 하기에 탐지하기도 쉽지 않다..
	그래서 요즘은 분석하기 더 귀찮아지고 있지만..
	창이 계속 진화하고 있다면
	방패도 계속 따라가야 한다..